security sphere 2012 Fermé

Question

Bonjour,  

alors voilà j'ai un énorme soucis avec mon PC. Tout à commencé avec Security Sphere 2012 qui s'est incrusté sur mon PC. Déjà ça c'était très chiant, j'ai mis un certains temps à comprendre que l'anti virus en question était le virus lui même.Après avoir découvert ça, j'ai cherché une solution sur le net. Je me suis d'abord aidé de cette méthode ( https://spywarehelpcenter.com/fr/how-to-remove-security-sphere-2012-virus-removal/ ). J'ai donc téléchargé le logiciel en question mais il fallait payer licence pour l'activer, j'ai donc laissé tomber cette méthode. Je me suis alors penché sur celle-ci (https://fr.pcthreat.com/parasitebyid-20601fr.html j'ai donc téléchargé SpyHunter, qui a semble t'"il détecté le problème mais qui m'a demandé de redémarrer le PC pour supprimer le virus. J'ai redémarrer le PC, et là il ma demandé si je voulais démarrer avbec Windows ou avec SPyHunter, je valide SpyHunter, le PC réfléchit un peu et là il redémarre sous WIndow et surprise Security Sphere agit toujours. Alors je décide de choisir une autre méthode (SpyHunter n'étant même plus accessible). Je retente donc avec une troisième méthode qui est celle-ci https://forums.commentcamarche.net/forum/affich-23299259-security-sphere-2012 je télécharge le premier logiciel conseillé (ZHPDiag) et pendant l'installation,mon PC m'affiche un écran bleu avec un texte en anglais qui, je crois, m'annonçait qu'un problème avait surgit t qu'il devait redémarré. Il redémarre, je passe la réparation et décide de lancer windows directement, il m'affiche de nouveau l'écran bleu et redémarre. Je fait donc la réparation windows mais il me fait la même. Je réalise cette opération à plusieurs reprises jusqu'à que enfin, il ne m'affiche plus l'écran. Seulement voilà j'arrive sur la page où je suis censé choisir quelle session ouvrir sauf que je n'ai qu'un écran noir et la souris. Je suis don coincé depuis hier à ce stade et je me réjouis d'avoir Linux pour continuer à me servir de mon PC. Mais j'aimerais tout de même réparer mon windows et ça serait donc avec plaisir que j'accepterais votre aide. J'espère avoir que tout ça est clair, j'ai essayé de décrire au mieux. Merci d'avance.  

Configuration: Linux / Firefox 3.6.8

servabat · Accepted Answer

Bonjour,     

Ce type d'infection est un rogue, Malware qui se fait passer pour un Antivirus.     
/!\ Surtout, ne suis pas les démarches indiqués sur d'autres sujet (comme tu l'a fait) car ces démarches sont personnalisées et donc ceci peut être dangereux ! /!\  
Pour te désinfecter, fait ceci :      

Essaye de redémarrer en mode sans echec : 
Si c'est possible, fait ceci : 

* Télécharge RogueKiller (de Tigzy) sur le Bureau     
* Renomme le en "iexplore.exe"     
* Quitte tous tes programmes en cours     
* Lance le.     
* Lorsque demandé, tape 1 ("Recherche") et valide     
* Un rapport (RKreport.txt) a du se créer à côté de l'exécutable, héberge, rends toi sur cjoint.com et dépose le fichier sur le site. Fais un copié/collé du lien proposé par le site et dépose le dans ta prochaine réponse ici.   
* Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois.     

Ensuite :     

* Télécharge et installe Malwarebytes' Anti-Malware     
* A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée     
* Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme)     
* Puis va dans l'onglet "Recherche", coche "Exécuter un examen rapide" puis "Rechercher"     
* A la fin de l'analyse, clique sur Afficher les résultats     
* Coche tous les éléments  détectés puis clique sur Supprimer la sélection     
* Enregistre le rapport     
* S'il t'est demandé de redémarrer l'ordinateur, clique sur Yes     
* Poste dans ta prochaine réponse le rapport apparaissant après la suppression en l'hébergeant comme expliqué pour RogueKiller   

/!\ Si tu n'y arrive pas, prévient moi, pour qu'on puisse tenter autre chose !

@++     
En formation -- Padawan de Electricien 69 le maître de la force.     
Followé par 91300 le Massycois

irishseiltanzer · Answer

Il ne veut pas non plus redémarrer en mode sans échec.C'est la même chose, il me met l'écran noir avec juste la souris. Je ne peux démarrer que sous Linux.

irishseiltanzer · Answer

donc j'ai
wilongon.exe et winlogon.exe.mui 
svchost.exe et svchost.exe.mui
mais je n'ai pas explorer.exe

irishseiltanzer · Answer

oui j'ai regardé il est bien dedans

servabat · Answer

Salut,

désolé je n'avais pas vu ton message. Fait ceci :
=> Démarre ton Pc comme pour aller sur Windows
=> Quand tu a l'ecran noir, appuie sur les touches Ctrl+Alt+Suppr
/!\Même si rien n'apparait, continue les manipulations (a l'aveuglette)/!\
=> Appuie fermement sur Alt+F
=> Ecris explorer.exe puis appuie sur enter
/!\Si rien ne s'affiche, continue les manipulations, sinon c'est bon/!\
=> Réappuie sur Ctrl+Alt+Suppr puis Alt+F
=> Ecris CMD
/!\ Si rien n'apparait, dit le moi /!\

@++

irishseiltanzer · Answer

J'ai fait tout ça et ça n'a rien changé. L'écran est toujours noir et je ne vois que la souris.

irishseiltanzer · Answer

http://cjoint.com/11oc/AJDrIr9m4QC.htm

finalement j'ai réussi !!

Désolé pour le temps

juju666 · Answer

Bonjour,

Recommence avec cette config :


sous Custom Scan box Image copie_colle le contenu du cadre ci dessous:  
netsvcs  
msconfig  
safebootminimal  
safebootnetwork  
activex  
drivers32  
%ALLUSERSPROFILE%\Application Data\*.  
%ALLUSERSPROFILE%\Application Data\*.exe /s  
%APPDATA%\*.  
%APPDATA%\*.exe /s  
%SYSTEMDRIVE%\*.exe  
/md5start  
explorer.exe  
winlogon.exe
svchost.exe
wininit.exe  
eventlog.dll  
scecli.dll  
netlogon.dll  
cngaudit.dll  
sceclt.dll  
ntelogon.dll  
logevent.dll  
iaStor.sys  
nvstor.sys  
atapi.sys  
i8042prt.sys  
cdrom.sys  
disk.sys  
ndis.sys  
tcpip.sys  
mountmgr.sys  
aec.sys  
rasacd.sys  
redbook.sys  
ipsec.sys  
mrxsmb10.sys  
mrxsmb20.sys  
termdd.sys  
mrxsmb.sys  
win32k.sys  
storport.sys  
IdeChnDr.sys  
viasraid.sys  
AGP440.sys  
vaxscsi.sys  
nvatabus.sys  
viamraid.sys  
nvata.sys  
nvgts.sys  
iastorv.sys  
ViPrt.sys  
eNetHook.dll  
ahcix86.sys  
KR10N.sys  
nvstor32.sys  
ahcix86s.sys  
nvrd32.sys  
/md5stop  
%systemroot%\*. /mp /s  
%systemroot%\system32\*.dll /lockedfiles  
%systemroot%\Tasks\*.job /lockedfiles  
%systemroot%\system32\drivers\*.sys /lockedfiles  
%systemroot%\System32\config\*.sav  
CREATERESTOREPOINT
* clic Run Scan pour demarrer le scan.  
* une fois terminé , le fichier se trouve là C:\OTL.txt  
héberge le sur cjoint.com

irishseiltanzer · Answer

https://www.cjoint.com/?AKgrrGElr8Y

juju666 · Answer

envoie ce fichier sur virustotal.com : C:\ProgramData\MFAData\pack\avgrunasx.exe
colle l'analyse ici

~~

'ATTENTION !!! : Script personnalisé pour cette machine uniquement , ne pas reproduire !!

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."

sur OTL.exe pour le lancer.


&#9654 Copie/colle les lignes suivantes en gras et place les dans la zone "personnalisation" :


envoie ce fichier sur virustotal.com : C:\ProgramData\MFAData\pack\avgrunasx.exe
colle l'analyse ici

~~


:OTL
IE - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://start.facemoods.com/?a=ddrnw&s={searchTerms}&f=4  
IE - HKLM\..\URLSearchHook: {6c3a1de1-94ca-4ad6-acdf-c1324adc487b} - C:\Program Files\Isohunt-vuze	bIsoh.dll (Conduit Ltd.)
IE - HKU\Nabiha_ON_C\..\URLSearchHook: {6c3a1de1-94ca-4ad6-acdf-c1324adc487b} - C:\Program Files\Isohunt-vuze	bIsoh.dll (Conduit Ltd.)
IE - HKU\Seiltanzer_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.facemoods.com/?a=ddrnw
IE - HKU\Seiltanzer_ON_C\..\URLSearchHook: {6c3a1de1-94ca-4ad6-acdf-c1324adc487b} - C:\Program Files\Isohunt-vuze	bIsoh.dll (Conduit Ltd.)
FF - prefs.js..browser.search.defaultthis.engineName: "isoHunt Customized Web Search"
FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT1434207&SearchSource=3&q="
FF - prefs.js..network.proxy.type: 4
[2009/01/29 06:56:58 | 000,000,886 | ---- | M] () -- C:\Users\Seiltanzer\AppData\Roaming\Mozilla\Firefox\Profiles\af8yj5gw.default\searchplugins\conduit.xml
[2011/09/08 09:57:15 | 000,002,048 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\fcmdSrch.xml
O2 - BHO: (Isohunt-vuze Toolbar) - {6c3a1de1-94ca-4ad6-acdf-c1324adc487b} - C:\Program Files\Isohunt-vuze	bIsoh.dll (Conduit Ltd.)
O3 - HKLM\..\Toolbar: (Isohunt-vuze Toolbar) - {6c3a1de1-94ca-4ad6-acdf-c1324adc487b} - C:\Program Files\Isohunt-vuze	bIsoh.dll (Conduit Ltd.)
O3 - HKU\Nabiha_ON_C\..\Toolbar\WebBrowser: (Isohunt-vuze Toolbar) - {6C3A1DE1-94CA-4AD6-ACDF-C1324ADC487B} - C:\Program Files\Isohunt-vuze	bIsoh.dll (Conduit Ltd.)
O3 - HKU\Seiltanzer_ON_C\..\Toolbar\WebBrowser: (Isohunt-vuze Toolbar) - {6C3A1DE1-94CA-4AD6-ACDF-C1324ADC487B} - C:\Program Files\Isohunt-vuze	bIsoh.dll (Conduit Ltd.)
O4 - HKU\Seiltanzer_ON_C\..\RunOnce: [hE01800ChMcA01800] C:\ProgramData\hE01800ChMcA01800\hE01800ChMcA01800.exe
[2011/10/22 11:31:13 | 000,000,000 | ---D | C] -- C:\sh4ldr
[2011/10/21 12:50:02 | 000,000,000 | ---D | C] -- C:\ProgramData\hE01800ChMcA01800
[2011/10/12 21:00:54 | 000,000,000 | ---D | C] -- C:\eccb1426f709dd0844a27f669d
[2010/12/18 17:59:44 | 000,000,000 | ---D | M] -- C:\Users\Seiltanzer\AppData\Roaming\CrazyLoader
[2011/10/21 12:50:02 | 000,000,000 | ---D | M] -- C:\ProgramData\hE01800ChMcA01800

:File
@Alternate Data Stream - 167 bytes -> C:\ProgramData\TEMP:DFC5A2B2

:commands
[emptytemp]
[resethosts]


&#9654 Clique sur « Correction » et laisse l''outil travailler. L''ordinateur redémarre.

&#9654 Copie/colle la totalité du rapport dans ta prochaine réponse.

juju666 · Answer

désolé j'ai eu un bug de copier/coller ^^

c'est ça le script OTL :


:OTL
IE - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://start.facemoods.com/?a=ddrnw&s={searchTerms}&f=4
IE - HKLM\..\URLSearchHook: {6c3a1de1-94ca-4ad6-acdf-c1324adc487b} - C:\Program Files\Isohunt-vuze	bIsoh.dll (Conduit Ltd.)
IE - HKU\Nabiha_ON_C\..\URLSearchHook: {6c3a1de1-94ca-4ad6-acdf-c1324adc487b} - C:\Program Files\Isohunt-vuze	bIsoh.dll (Conduit Ltd.)
IE - HKU\Seiltanzer_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.facemoods.com/?a=ddrnw
IE - HKU\Seiltanzer_ON_C\..\URLSearchHook: {6c3a1de1-94ca-4ad6-acdf-c1324adc487b} - C:\Program Files\Isohunt-vuze	bIsoh.dll (Conduit Ltd.)
FF - prefs.js..browser.search.defaultthis.engineName: "isoHunt Customized Web Search"
FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT1434207&SearchSource=3&q="
FF - prefs.js..network.proxy.type: 4
[2009/01/29 06:56:58 | 000,000,886 | ---- | M] () -- C:\Users\Seiltanzer\AppData\Roaming\Mozilla\Firefox\Profiles\af8yj5gw.default\searchplugins\conduit.xml
[2011/09/08 09:57:15 | 000,002,048 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\fcmdSrch.xml
O2 - BHO: (Isohunt-vuze Toolbar) - {6c3a1de1-94ca-4ad6-acdf-c1324adc487b} - C:\Program Files\Isohunt-vuze	bIsoh.dll (Conduit Ltd.)
O3 - HKLM\..\Toolbar: (Isohunt-vuze Toolbar) - {6c3a1de1-94ca-4ad6-acdf-c1324adc487b} - C:\Program Files\Isohunt-vuze	bIsoh.dll (Conduit Ltd.)
O3 - HKU\Nabiha_ON_C\..\Toolbar\WebBrowser: (Isohunt-vuze Toolbar) - {6C3A1DE1-94CA-4AD6-ACDF-C1324ADC487B} - C:\Program Files\Isohunt-vuze	bIsoh.dll (Conduit Ltd.)
O3 - HKU\Seiltanzer_ON_C\..\Toolbar\WebBrowser: (Isohunt-vuze Toolbar) - {6C3A1DE1-94CA-4AD6-ACDF-C1324ADC487B} - C:\Program Files\Isohunt-vuze	bIsoh.dll (Conduit Ltd.)
O4 - HKU\Seiltanzer_ON_C\..\RunOnce: [hE01800ChMcA01800] C:\ProgramData\hE01800ChMcA01800\hE01800ChMcA01800.exe
[2011/10/22 11:31:13 | 000,000,000 | ---D | C] -- C:\sh4ldr
[2011/10/21 12:50:02 | 000,000,000 | ---D | C] -- C:\ProgramData\hE01800ChMcA01800
[2011/10/12 21:00:54 | 000,000,000 | ---D | C] -- C:\eccb1426f709dd0844a27f669d
[2010/12/18 17:59:44 | 000,000,000 | ---D | M] -- C:\Users\Seiltanzer\AppData\Roaming\CrazyLoader
[2011/10/21 12:50:02 | 000,000,000 | ---D | M] -- C:\ProgramData\hE01800ChMcA01800

:File
@Alternate Data Stream - 167 bytes -> C:\ProgramData\TEMP:DFC5A2B2

:commands
[emptytemp]
[resethosts]

juju666 · Answer

&#9654 Télécharge l''image de Dr.Web LiveCD.  
ftp://ftp.drweb.com/pub/drweb/livecd/drweb-livecd-600.iso  
&#9654 Il faut graver l'image sur CD ou DVD. Par exemple, si vous utilisez Nero Burning ROM :  
          * Met le disque vide CD/DVD dans le lecteur  
          * Sélectionne "Ouvrir"  
          * Trouve et choisis une image mémorisée  
          * Clique sur le bouton "Graver" et attend la fin du processus d''enregistrement   
&#9654  Vérifie si ton PC va démarrer depuis le lecteur de CD-ROM où se trouve votre Dr.Web LiveCD, ou depuis un autre support contenant Dr.Web LiveCD. En cas de nécessité, fait entrer les paramétrages nécessaires dans le BIOS de ton  ordinateur  
&#9654 Au démarrage de Dr.Web LiveCD, une boîte de dialogue va s''afficher et là, tu peux choisir un mode de lancement : standard ou sans échec (safe mode)  
&#9654 A l''aide des touches flèches du clavier, sélectionne STANDARD, et presse [Enter]  

&#9654 Afin de lancer la version du scanner avec GUI, sélectionne le mode standard de lancement de DrWeb-LiveCD (Default)  
&#9654 Si le mode standard est sélectionné DrWeb-LiveCD (Default)), le système opérationnel trouvera automatiquement toutes les parties disponibles du disque dur et effectuera la connexion au réseau local si c'est possible  
&#9654 A la fin du chargement, sélectionne tous tes disques durs, clés usb, etc et cliques sur Start

Security sphere 2012

12 réponses

Discussions similaires